云图--解放双手管理攻击面

长亭云图-攻击面管理平台

一、为什么用它

身为拿来主义的忠实拥护者，长亭的各种工具用起来是很香的，xray ，xpoc，牧云，雷池等等工具在工作中是帮了大忙的。这两天长亭的新平台云图上线了，云图的目标是帮助企业做攻击面的管理，理解下来就是，监测查找暴露面，发现暴露面是否有安全问题，这在安全的工作中也是一个持续性的工作。通常最笨拙的方法就是各种资产测绘，子域名挖掘，端口扫描，指纹识别，POC扫描各种工作辅佐来完成这一连串复杂的工作，结果就是“累死人”。

在今天用云图之前使用过Rengine和fofahub，每个平台的目的有交差但不完全一致，这俩就不多介绍了，今天就说一下用云图的感受。为什么要说它，因为原本只是想试用一下看看效果，结果它就给我找出了好多漏洞，感觉平时工作都白干了！！！！

二、它能帮我干啥

上图，云图的主页展示了它的所有功能，可以收集域名，收集ip，收集端口和指纹，发现web资产以及使用的web组件，最最最最最重要的，它可以检测漏洞啊，我猜这背后可能是xray在发力。

三、怎么使用它

开通云图极速版，进入百川云平台开通

云图极速版地址
https://rivers.chaitin.cn/landing/atlantis

产品开通教程
https://www.bilibili.com/video/BV1Ru4y1b7cN/

开通之后，需要添加扫描对象，因为云图面向的是企业，所以你只需要告诉它你公司的名字叫啥就行了，剩下的都不用你管，都交给它来处理就完事了。

云图收到你公司的名字之后，会通过备案的公司名字，查找出公司备案的主域名，之后会采集子域名，然后采集域名解析的ip地址，再通过这些ip地址去探测开放的端口，识别端口指纹，识别出web资产以及web组件，最后利用上面收集的web资产和组件进行漏洞扫描，右上角的开关可以自由控制手动开启扫描还是每天自动扫一遍。